我理解漏洞利用的一般概念。缓冲区溢出和类似的东西,但我想我不真的得到它。
是否有有用的信息来源可以很好地解释这个领域?关于特定漏洞如何被利用的案例研究?
更有趣的是你所处理的项目是如何遭受这些问题的。
我不是想了解我可以利用的当前存在的漏洞。我试图了解这个领域如何对我可能从事的任何项目产生影响。
答案 0 :(得分:1)
iss.net有关于漏洞利用示例的文章,主要解释如何保护您的系统。
答案 1 :(得分:0)
corelancoder教程!必读 https://www.corelan.be/index.php/2009/07/19/exploit-writing-tutorial-part-1-stack-based-overflows/
第1部分是Windows上的单个BOF,......,第12部分是ROP。这很难,但第一个可以在一两天内完成,它应该让你真正感受到在编写漏洞利用时遇到的困难,以及哪些对策无用/有用。
这方面的问题是,在你自己尝试一些东西之前不清楚,但这需要时间。您还可以检查Metasploit直接利用问题(了解影响) - 您将找到触发目标的漏洞列表。如果您需要目标,请使用Metasploitable http://www.offensive-security.com/metasploit-unleashed/Requirements#Metasploitable
答案 2 :(得分:0)
如果你想要现实生活中的实际例子,我完全推荐这本书
"A Bug Hunter's Diary: A Guided Tour Through the Wilds of Software Security"
这正是你想要的。它充满了几乎所有类型漏洞的案例研究和现实生活中的例子,它从发现到完全编写工作漏洞的过程中解释了它。
书中还有一些例子"The shellcoders handbook",但它不像"The bug hunter's diary"那么全面。"The shellcoders handbook"也很大,我只在需要时用它作为参考
有时我也会继续阅读来自" http://www.exploit-db.com"它帮助了我很多,但请记住,不是所有东西都可以教,所以有时你需要根据你拥有的东西进行即兴创作,一开始你可以控制它很难,但是当你利用它时它会让你感觉很棒运行,你看到calc.exe:)
当然,corlan教程和其他教程是了解基本知识的必要条件,但它们只教你基本概念,你必须看到一些真实的生活漏洞才能真正理解这些可能性。